云原生机密计算最佳实践白皮书
1.72 MB
70 页
0 下载
22 浏览
0 评论
0 收藏
| 语言 | 格式 | 评分 |
|---|---|---|
中文(简体) | .pdf | 3 |
| 概览 | ||
机密计算简介与现状 Introduction And Status Of Confidential Computing 04 OpenAnolis 龙蜥社区 OpenAnolis Community 01 11 22 云原生机密计算SIG概述 Overview Of The Cloud Native Confidential Computing SIG 07 海光CSV:海光安全虚拟化技术 Intel SGX: Intel安全防护扩展 Intel TDX: Intel安全虚拟化技术 AMD SEV: AMD安全加密虚拟化技术 ARM CCA: Arm安全加密虚拟化技术 机密计算平台 Confidential Computing Platform 12 14 16 18 20 编程框架 Programming Framework Intel SGX SDK/PSW/DCAP: Intel SGX 软件开发套件和平台软件服务 23 29 31 Intel Homomorphic Encryption: Intel 平台同态加密加速框架 Intel_HE_Toolkit 开发指南 RATS-TLS: 跨机密计算平台的双向传输层安全协议 35 37 43 46 113 Apache Teaclave Java TEE SDK: 面向Java生态的机密计算编程框架 Apache_Teaclave_ Java_TEE_SDK 最佳实践 运行时底座 Runtime Foundation 海光CSV机密容器 47 47 56 61 68 基于runtime-attestation使用机密容器 基于pre-attestation使用机密容器 基于runtime-attestation使用签名容器 海光CSV机密虚拟机 72 Intel TDX机密容器 解决方案 Solution Occlum: 基于Intel SGX的轻量级LibOS 81 82 91 102 107 109 111 Intel SGX虚拟机最佳实践 Intel vSGX:Intel SGX虚拟化 AMD SEV机密容器 AMD SEV机密虚拟机 Inclavare Containers: 面向机密计算场景的开源容器运行时技术栈 Enclave-CC: 进程级机密容器 Intel Confidential Computing Zoo: Intel机密计算开源解决方案 114 115 121 126 133 部署TensorFlow Serving在线推理服务 部署TensorFlow横向联邦学习 部署隐私集合求交方案 PPML: 端到端隐私保护机器学习解决方案 01 认识龙蜥 龙蜥社区( OpenAnolis )成立于 2020 年 9 月,由阿里云、ARM、统信软件、龙芯、飞腾、中科方德、 Intel 等 24 家国内外头部企业共同成立龙蜥社区理事会,到目前有超过 300 家合作伙伴参与共建,是是国内领 先的开源社区之一,具备较为领先的产业和技术影响力。目前,龙蜥操作系统下载量已超240万,整体装机量达 300多万,100余款企业产品完成与龙蜥操作系统的适配。同时,统信软件、中科方德、中国移动云、麒麟软件 、中标软件、凝思软件、浪潮信息、新支点、阿里云基于龙蜥开源操作系统推出各自商业版本及产品,在政务 、金融、交通、通信等领域累计服务用户超过30万。 龙蜥开源影响力 龙蜥社区及龙蜥操作系统也获得了一定的行业认可,工信部电子标准院首批开源项目成熟度评估,成为唯 一获得“卓越级”认证的开源项目、龙蜥社区荣登 2022 科创中国“开源创新榜”、荣获“中国开源云联盟年度优 秀开源项目奖”、“OSCAR 开源尖峰案例奖”等 25 项行业奖项。 龙蜥项目运作模式 龙蜥社区已成立 50+ 个 SIG 工作组,围绕芯片、内核、编译器、安全、虚拟化及云原生等操作系统核心领 域进行技术创新,已发布龙蜥 Anolis OS 7、Anolis OS 8.x 系列、Anolis OS 23 公测版、Lifsea OS 等多个社 区版本,为应对即将停服的 CentOS,官网已上线「CentOS 停服专区」为用户提供迁移方案及长期稳定支持, 致力于成为 CentOS 的更佳替代。 龙蜥运营管理 “为更好地运营和治理社区,龙蜥社区定期召开月度运营委员会会议、技术委员会会议,理事大会。 关于理事大会:龙蜥社区第二届理事大会圆满召开!理事换届选举、4 位特约顾问加入 关于运营委员会会议:龙蜥社区第15次运营委员会会议顺利召开 欢迎更多企业加入共建, 龙腾计划可参看:“龙腾计划”启动!邀请 500 家企业加入,与龙蜥社区一起拥 抱无限生态。” 龙蜥开放的生态 为了鼓励合作伙伴在社区探索出更多的商业合作方式,真正牵引企业在龙蜥社区的合作落地,社区推出「 龙腾计划」的升级版——「生态发展计划」,更聚焦在产品和商业合作本身。 关于龙蜥操作系统 ( Anolis OS ) 龙蜥操作系统(Anolis OS)搭载了 ANCK 版本的内核,性能和稳定性经过历年“双 11”历练,能为云上典 型用户场景带来 40% 的综合性能提升,故障率降低 50%,兼容 CentOS 生态,提供平滑的 CentOS 迁移方案, 并提供全栈国密能力。最新的长期支持版本 Anolis OS 8.6 已发布,更多龙蜥自研,支持 X86_64 、RISC-V、 Arm64、LoongArch 架构,完善适配 Intel、飞腾、海光、兆芯、鲲鹏、龙芯等主流芯片。 下载体验链接:https://openanolis.cn/download 2021 年 12 月 31 日,龙蜥开源社区(OpenAnolis)上线「CentOS 停服专区」,为受 CentOS 停服影响 的用户提供迁移方案及长期稳定支持。此次停服,龙蜥操作系统(Anolis OS)产品优势包括:打造系统化解决 方案 AOMS、提供多款配套工具、承诺10年技术支持、兼容 CentOS 生态、具备差异化核心技术优势、历经丰 富场景验证、沉淀用户迁移案例实践。 反馈与共创 OpenAnolis是一个开放包容的社区,因此我们也欢迎志同道合之士参与我们的文档修订。 对于文档中您认为不足之处,欢迎到我们的官方仓库 Whitebook ConfidentialComputing 新开issue,我 们会第一时间进行响应。 另外,若您想更新文档,也同样欢迎在 Whitebook ConfidentialComputing 提PR 详情可参看:https://openanolis.cn/page/partner2 02 03 Introduction And Status Of Confidential Computing 机密计算简介与现状 机密计算简介与现状 数据安全与机密计算 数据在整个生命周期有三种状态:At-Rest(静态)、In-Transit(传输中)和 In-Use(使用中)。 • At-Rest 状态下,一般会把数据存放在硬盘、闪存或其他的存储设备中。保护 At-Rest 状态的数据有很多 方法,比如对文件加密后再存放或者对存储设备加密。 • In-Transit 是指通过公网或私网把数据从一个地方传输到其他地方,用户可以在传输之前对文件加密或者 采用安全的传输协议保证数据在传输中的安全,比如HTTPS、SSL、TLS、FTPS 等。 • In-Use 是指正在使用的数据。即便数据在传输过程中是被加密的,但只有把数据解密后才能进行计算和 使用。也就意味着,如果数据在使用时没有被保护的话,仍然有数据泄露和被篡改的风险。 在这个世界上,我们不断地存储、使用和共享各种敏感数据:从信用卡数据到病历,从防火墙配置到地理 位置数据。保护处于所有状态中的敏感数据比以往任何时候都更为重要。如今被广泛使用的加密技术可以用来 提供数据机密性(防止未经授权的访问)和数据完整性(防止或检测未经授权的修改),但目前这些技术主要 被用于保护传输中和静止状态的数据,目前对数据的第三个状态“使用中”提供安全防护的技术仍旧属于新的前 沿领域。 机密计算指使用基于硬件的可信执行环境(Trusted Execution Environment,TEE)对使用中的数据提供 保护。 通过使用机密计算,我们现在能够针对“使用中”的数据提供保护。 机密计算的核心功能有: • 保护 In-Use 数据的机密性。未经授权的实体(主机上的应用程序、主机操作系统和Hypervisor、系统管 理员或对硬件具有物理访问权限的任何其他人。)无法查看在TEE中使用的数据,内存中的数据是被加密的,即 便被攻击者窃取到内存数据也不会泄露数据。 • 保护 In-Use 数据的完整性。防止未经授权的实体篡改正在处理中的数据,度量值保证了数据和代码的完 整性,使用中有任何数据或代码的改动都会引起度量值的变化。 • 可证明性。通常 TEE 可以提供其起源和当前状态的证据或度量值,以便让另一方进行验证,并决定是否信 任 TEE 中运行的代码。最重要的是,此类证据是由硬件签名,并且制造商能够提供证明,因此验证证据的一方 就可以在一定程度上保证证据是可靠的,而不是由恶意软件或其他未经授权的实体生成的。 机密计算的现状与困境 业界内的诸多厂商就已经开始关注并投入到机密计算中。各大芯片厂家和云服务提供商(Cloud Service Provider,简称 CSP)都在机密计算领域投入研发资源,并组建了“机密计算联盟”。该联盟专门针对云服务及 硬件生态,致力于保护计算时的数据安全。 目前机密计算正处于百花齐发和百家争鸣的阶段,市场和商业化潜力非常巨大。 但机密计算在云原生场景 中还有一些不足: 1、用户心智不足。用户普遍对机密计算这项新技术的认知感不足,难以将其与自己的业务直接联系起来 ,导致需求不够旺盛。 2、技术门槛高。目前,相比传统开发方式,主流的机密计算技术的编程模型给人们对机密计算技术的印象 是学习和使用门槛高,用户需要使用机密计算技术对业务进行改造,令很多开发者望而生畏。 3、应用场景缺乏普适性。目前,机密计算主要被应用于具有特定行业壁垒或行业特征的场景,如隐私计算 和金融等。这些复杂场景让普通用户很难触达机密计算技术,也难以为普通用户打造典型应用场景。同时,不 04 05 同厂商的CPU TEE虽各自具有自身的特点,但都无法解决异构计算算力不足的问题,限制了机密计算的应用领域。 4、信任根和信任模型问题。在信创、数据安全和安全合规等政策性要求对CPU TEE的信任根存在自主可控的 诉求;与此同时,虽然有部分用户愿意信任云厂商和第三方提供的解决方案,但多数用户对云厂商和第三方不完 全信任,要求将机密计算技术方案从租户TCB中完全移除。 总之,目前已有的机密计算技术方案存在以上困境,不能够完全满足用户不同场景的安全需求。为了解决以 上四个问题,云原生机密计算SIG应运而生,主要可概括为四点: 1、推广机密计算技术。 • 邀请参与方在龙蜥大讲堂介绍和推广机密计算技术与解决方案。 • 与芯片厂商合作,未来可以通过龙蜥实验室让外部用户体验机密计算技术,对机密计算有一个更深入化的了 解。 2、提高机密计算技术的可用性。 • 支持多种机密计算硬件。 • 提供多种运行时底座和编程框架供用户选择。 3、提升机密计算技术的泛用性 • 为最有代表性的通用计算场景打造解决方案和案例(特性即产品)。 • 积极拥抱并参与到机密计算前沿技术领域的探索与实践,加速创新技术的落地。 4、澄清误会并增加用户信心 • 发布机密计算技术白皮书。 • 与社区和业界合作,未来提供结合了软件供应链安全的远程证明服务体系。 Overview Of The Cloud Native Confidential Computing SIG 云原生机密计算SIG概述 06 07 云原生机密计算SIG概述 随着通信、网络和计算机技术的持续演进与广泛应用,数据资源的开放共享、交换流通成为推动“万物互联 、智慧互通”的重要趋势。与此同时,近年来数据安全事件频发、数据安全威胁日趋严峻,数据的安全处理和流 通受到了国内外监管部门的广泛重视。如何在保障安全的前提下最大程度发挥数据的价值,是当前面临的重要 课题。 在日益严苛的隐私保护相关法律法规约束下,作为当前数据处理基础设施的云计算也正在经历一次重大的 范式转换,即从默认以 CSP 为信任基础的计算范式走向信任链与 CSP 解耦的新范式。我们将此范式称为隐私保 护云计算,而机密计算是实现隐私保护云计算的必由之路。 为拥抱隐私保护云计算新范式,促进隐私保护云计算生态发展,云原生机密计算SIG应运而生: 愿景 云原生机密计算SIG致力于通过开源社区合作共建的方式,为业界提供开源和标准化的机密计算技术以及安 全架构,推动云原生场景下机密计算技术的发展。工作组将围绕下述核心项目构建云原生机密计算开源技术栈 ,降低机密计算的使用门槛,简化机密计算在云上的部署和应用步骤,拓展使用场景及方案。 云原生机密计算SIG的愿景是: 1)构建安全、易用的机密计算技术栈 2)适配各种常见机密计算硬件平台 3)打造典型机密计算产品和应用案例 项目介绍 海光 CSV 机密容器 CSV 是海光研发的安全虚拟化技术。CSV1 实现了虚拟机内存加密能力,CSV2 增加了虚拟机状态加密机制 ,CSV3 进一步提供了虚拟机内存隔离支持。CSV 机密容器能够为用户提供虚拟机内存加密和虚拟机状态加密能 力,主机无法解密获取虚拟机的加密内存和加密状态信息。CSV 虚拟机使用隔离的 TLB、Cache 等硬件资源, 支持安全启动、代码验证、远程认证等功能。 • 主页:https://openanolis.cn/sig/coco/doc/533508829133259244 Intel Confidential Computing Zoo Intel 发起并开源了 Confidential Computing Zoo (CCZoo),CCZoo 基于 Intel TEE(SGX,TDX)技术, 提供了不同场景下各种典型端到端安全解决方案的参考案例,增加用户在机密计算方案实现上的开发体验,并 引导用户结合参考案例快速设计自己特定的机密计算解决方案。 CCZoo 目前提供了基于 Libos + Intel TEE + OpenAnolis 容器的 E2E 安全解决方案参考案例,后续,CCZoo 计划基于 OpenAnolis ,提供更多的机密计算 参考案例,为用户提供相应的容器镜像,实现敏捷部署。 • 主页:https://cczoo.readthedocs.io • 代码库:https://github.com/intel/confidential-computing-zoo Intel HE Toolkit Intel HE Toolkit 旨在为社区和行业提供一个用于实验、开发和部署同态加密应用的平台。目前 Intel HE Toolkit 包括了主流的 Leveled HE 库,如 SEAL、Palisade和 HELib,基于使能了英特尔最新指令集加速的的 Intel HEXL 库,在英特尔至强处理器平台上为同态加密业务负载提供了卓越的性能体验。同时,Intel HE Toolkit即将集成半同态 Paillier 加速库 IPCL,为半同态加密应用提供加速支持。此外,Intel HE Toolkit 还提供 了示例内核、示例程序和基准测试 HEBench。这些示例程序演示了利用主流的同态加密库构建各种同态加密应 用保护用户隐私数据的能力。HEBench 则为各类第三方同态加密应用提供了公允的评价基准,促进了同态加密 领域的研究与创新。 • 主页:https://www.intel.com/content/www/us/en/developer/tools/homoorphic- encryption/ • 代码库:Intel HE Toolkit: https://github.com/intel/he-toolkit Intel HEXL: https://github.com/intel/hexl Intel Paillier Cryptosystem Library (IPCL): https://github.com/intel/pailliercryptolib HE Bench: https://github.com/hebench Intel SGX Platform Software and Datacenter Attestation Primitives 在龙蜥生态中为数据中心和云计算平台提供 Intel SGX 技术所需的平台软件服务,如远程证明等。 • RPM包:https://download.01.org/intel-sgx/latest/linux-latest/distro/ Anolis86/ • 代码库:https://github.com/intel/SGXDataCenterAttestationPrimitives Intel SGX SDK 在龙蜥生态中为开发者提供使用 Intel SGX 技术所需的软件开发套件,帮助开发者高效便捷地开发机密计算 程序和解决方案。 • RPM包:https://download.01.org/intel-sgx/latest/linux-latest/distro/ Anolis86/ • 代码库:https://github.com/intel/linux-sgx Occlum Occlum 是一个 TEE LibOS,是机密计算联盟(CCC, Confidential Computing Consortium)的官方开源 项目。目前 Occlum 支持 Intel SGX 和 HyperEnclave 两种 TEE。Occlum 在 TEE 环境中提供了一个兼容 Linux 的运行环境,使得 Linux 下的应用可以不经修改就在 TEE 环境中运行。Occlum 在设计时将安全性作为最重要 的设计指标,在提升用户开发效率的同时保证了应用的安全性。Occlum 极大地降低了程序员开发 TEE 安全应 用的难度,提升了开发效率。 • 主页:https://occlum.io/ • 代码库:https://github.com/occlum/occlum 08 09 Intel CCZoo (TensorFlow Gramine / CSV / CSV / Inclavare Containers / KubeTEE Enclave Services / Occlum / SEV / SEV / SGX / TDX & Apache Teaclave Java TEE SDK / Intel HE Toolkit / Intel SGX & PSW & DCAP Anolis 8 + ANCK 5.10 AMD SEV(-ES)/ CSV 1+2 / Intel SGX 2.0 / Intel TDX 1.0 OS 提供 TEE 有关的 Kubernetes 基础服务 (如集
| ||
下载文档到本地,方便使用
共 70 页, 还有
1 页可预览,
继续阅读
文档评分
基于云计算技术智慧环卫解决方案